Het gevaar bij het gebruik van de QR-code
Naar aanleiding van het artikel “Betalen in Thailand zonder gedoe en zoals locals het doen” voelde ik de noodzaak om een reeds lang geleden geschreven ontwerpartikel alsnog in te sturen bij TB.
Naast de mogelijkheid om heel veel data te bevatten, bestaat ook de mogelijkheid dat een groot deel onzichtbare data in deze code wordt opgeslagen. De QR-code is namelijk geschreven in JavaScript.
Op het internet is een zeer groot aanbod aan gratis software voor QR-codes te vinden, waarmee men zelf een QR-code kan aanmaken en/of lezen. Dat is uiteraard heel aanlokkelijk, maar in hoeverre zijn de aanbieders ervan betrouwbaar?
Risico’s
Bron: SIITEL
Na diepgaand onderzoek en analyse door SIITEL (Société Internationale des Ingénieurs en Télécommunication), waar Lung addie deel van uitmaakt, vond er op 2 december 2022 een videoconferentie plaats waaraan ook Lung addie deelnam.
Ik geef hier enkel een kort verslag van wat werd vastgesteld.
De enige context waarin gewone QR-codes uitvoerbare gegevens kunnen bevatten, is het gegevenstype URL. Deze URL’s kunnen JavaScript hosten, dat kan worden gebruikt om misbruik te maken van kwetsbaarheden in applicaties op het hostsysteem, zoals de QR-codelezer, de webbrowser of de afbeeldingsviewer. Een QR-codelezer stuurt de gegevens doorgaans door naar de applicatie die gekoppeld is aan het gegevenstype dat door de QR-code wordt gebruikt.
Zelfs als er geen software-exploits zijn, kunnen kwaadwillende QR-codes, in combinatie met een oppervlakkige lezer, de inhoud van een computer en de privacy van de gebruiker in gevaar brengen. Deze praktijk staat bekend als attagging, een samentrekking van attack en tagging. Dergelijke codes zijn eenvoudig te maken en kunnen op legitieme QR-codes worden aangebracht.
Op een smartphone kunnen gebruikersinstellingen, cameragebruik, volledige internettoegang, het lezen en schrijven van contactgegevens en het uitlezen van de browsergeschiedenis worden doorgestuurd of onzichtbaar in de QR-code worden opgeslagen.
Risico’s zijn onder meer het linken naar gevaarlijke websites met browserexploits, het inschakelen van microfoon, camera of gps en het vervolgens streamen van die feeds naar een externe server, de analyse van gevoelige gegevens zoals wachtwoorden, bestanden, contacten en transacties, en het verzenden van e-mail of sms.
Dit is heel duidelijk.
Ik heb me alleszins voorgenomen geen gebruik te maken van QR-codes voor financiële transacties of betalingen. Indien ik niet op de gewone manier kan betalen, hetzij cash, via mijn eigen thuis-pc-banking of rechtstreeks in de bank, dan ga ik elders kopen of dineren.
Ik ben totaal geen doemdenker en wil het QR-systeem ook niet afbreken, want het heeft zeker zijn nut voor velerlei toepassingen, vooral industriële. Het werd echter oorspronkelijk niet ontworpen om er financiële transacties, zeker niet draadloos, mee te verrichten. Maar ja, veel mensen willen alles vanuit hun luie zetel kunnen doen.
Uit het onderzoek blijkt dat praktisch alle hedendaagse klachten over bankfraude afkomstig zijn van gebruikers die bankieren via draadloze systemen, dus smartphones, ongeacht merk of besturingssysteem. Vastgesteld werd ook dat bijna alle klachten komen van gebruikers die de app zelf downloaden van het internet en geen gebruikmaken van de app die door de bankinstelling zelf wordt aangeboden.
Finale raadgeving
Indien je toch wenst gebruik te maken van de QR-code, gebruik dan uitsluitend de app die ter beschikking wordt gesteld door de financiële instelling zelf. Vermijd daarnaast transacties via draadloze verbindingen of publieke wifi.
Over deze blogger
-
Geboren in 1955. Maakte kennis met Thailand meer dan 20 jaar geleden, toen ik regelmatig in BKK een tussenstop maakte na het beëindigen van werkopdrachten radiometingen op de toen nieuwe luchthaven van Hong Kong. Woon nu meer dan 10 jaar permanent in de provincie Chumphon. Ik ben de auteur van het TB-dossier 'Uitschrijven voor Belgen'.
Mijn beroep was Expert Senior Field Engineer radiometingen. Hobbies:
- het administratief bijstaan van Thaise weduwen van overleden Belgische mannen, met de Belgische overheidsdiensten: pensioenen-erfrechten-belastingen.
- Radio-zendamateurisme telegrafist met licentie in Thailand en Cambodja.
Lees hier de laatste artikelen
Belasting Thailand28 februari 2026TH belastingaangifte leidraad voor Belgen
Lezersinzending4 februari 2026Het gevaar bij het gebruik van de QR-code
Leven in Thailand23 maart 2025Je maakt van alles mee in Thailand (217)
Leven in Thailand4 maart 2025Je maakt van alles mee in Thailand (216)
Bijzonder goede waarschuwing met duidelijke uitleg, zelf door mij als digibeet te begrijpen.
Was altijd reeds wantrouwend aangaande QR codes. Gebruik ze nooit.
Dit is een hele belangrijke waarschuwing van Lung Addie die ik zal beslist zal opvolgen.
Bij mijn weten is de QR code ooit eens uitgevonden door iemand bij Toyota in Japan in verband met het scannen van onderdelen ed in hun magazijnen.
Bij de streepjes code moet je altijd de scanner in het verlengde houden van de streep.
Bij de QR hoeft dat niet en werkt dus vlotter en makkelijker,
Zoals Lung beschreef ben ik mij ook terdege van de gevaren bewust van dit systeem en gebruik ik het alleen als het niet anders kan, als voorbeeld te noemen bij het inloggen bij de ASN bank als extra controle.
Dat er velen de dupe worden van dit gemak zijn veel verhalen te volgen in het nieuws en op YouTube.
Ik probeer mijn dagelijkse financiële transacties zo veel mogelijk buiten het digitale systeem te houden waar en zo lang dit nog kan.
Janneman.
Klopt wat je zegt Jan.
De QR-code werd in 1994 uitgevonden door Masahiro Hara bij het Japanse bedrijf Denso Wave (onderdeel van Toyota Group).
Barcodes waren te traag en te beperkt. De auto-industrie had een code nodig die veel meer data kon opslaan en snel te scannen was (ook als hij deels beschadigd was).
Beste Janneman,
Jij zit perfect op het goede spoor betreffende de uitvinder van de QR-code. Het was namelijk een Janpanner: Mashiro Hara. Hij werkte voor Denso Wave. In 194 kreeg hij de opdracht een nieuwe, meer efficinte methode te ontwikkelen met de bedoeling meer efficient opvolgen van auto onderdelen. De streepjescode was te beperkt in het opslaan van de nodige informatie, wat de QR-code niet is. Het was totaal niet bedoeld om betalingen mee te doen.
Ik wil toch wel even een kleine aanvulling geven aan het stuk van Lung Addie.
Ik heb onlangs een stuk ingestuurd aan TB over het gebruik van je telefoon (Reis apps voor iPhone en specifiek voor Thailand) en de handige apps die je kunt gebruiken in Thailand, Cashless Payments en scannen van QR codes horen daar ook bij.
Om te zeggen dat je sowieso bovenstaande methoden pertinent weigert om te betalen is ongeveer hetzelfde als; “ik stap nooit in een vliegtuig want die dingen storten nog wel eens neer”. Je ontkomt er gewoon niet aan om mee te gaan met de moderne tijd. Wat wel kan is om de kans om te crashen zo klein mogelijk te maken door bijvoorbeeld te boeken bij een betrouwbare maatschappij en gezond verstand gebruiken om geen deur te openen van het vliegtuig mid-air. Maar nu dwaal ik af.
In de huidige tijd is het gebruik van je telefoon, om meer dingen te doen dan te bellen en SMS’en dan ook niet meer weg te denken uit het moderne leven.
Wel kun je ervoor zorgen dat wanneer je digitaal gaat, dat je dit dan zo veilig mogelijk doet.
Je maakt je telefoon al een stuk veiliger met een paar vaste gewoontes en instellingen. Hieronder de belangrijkste dingen die je direct kunt doen.
Basisinstellingen op je telefoon
* Zet altijd een schermvergrendeling aan met een sterke pincode of wachtwoord, liefst langer dan 6 cijfers; biometrie (vinger/face) is handig, maar niet je enige slot.
* Zorg dat je telefoon en alle apps automatisch updaten, zodat bekende beveiligingslekken snel worden dichtgezet.
* Stel je toestel in dat het snel automatisch vergrendelt na korte inactiviteit (bijvoorbeeld 30 seconden of 1 minuut).
Accounts en wachtwoorden
* Gebruik voor elke app/website een uniek, sterk wachtwoord en bewaar ze in een wachtwoordmanager in plaats van in notities of e‑mail.
* Zet tweestapsverificatie (2FA) aan voor belangrijke accounts zoals e‑mail, bankieren, Apple/Google, WhatsApp, socials; dan is een wachtwoord alleen niet genoeg voor een aanvaller.
* Controleer regelmatig of er vreemde inlogpogingen of onbekende apparaten aan je accounts gekoppeld zijn en verwijder die meteen.
Apps en downloads
* Installeer apps alleen uit de officiële app‑stores (Google Play, Apple App Store) en vermijd “apk’s” of gebroken apps van websites.
* Kijk kritisch naar app‑machtigingen: geef bijvoorbeeld locatie, microfoon of contacten alleen als het echt nodig is.
* Overweeg een betrouwbare antivirus‑app om apps, links en downloads te scannen op malware en phishing.
Netwerken en internetgebruik
* Vermijd openbaar wifi voor gevoelige dingen (bankieren, e‑mail). Gebruik dan liever mobiele data.
* Als je toch openbaar wifi gebruikt, zet een VPN aan zodat je verkeer versleuteld is en lastiger is af te luisteren.
* Schakel automatische verbinding met bekende wifi‑netwerken uit, zodat je toestel niet vanzelf op een nep‑netwerk inlogt.
Privacy en databeperking
* Beperk wat je op je telefoon bewaart: zet gevoelige documenten en foto’s regelmatig over naar een veilige plek en verwijder ze van je toestel.
* Check in de privacy‑instellingen welke apps toegang hebben tot locatie, camera, microfoon en pas dit aan.
* Maak regelmatig een versleutelde back‑up (iCloud/Google of versleutelde computer‑back‑up) zodat je bij diefstal of hack veilig kunt wissen en toch je data terug hebt.
QR code is geschreven in Java Script?
Dat lijkt mij totale onzin.
Je kunt in Java script best iets doen met QR codes, maar dat betekent niet dat QR codes in Java Script zijn geschreven.
De QR code op zich is ook zeker niet onveilig, er wordt door Digid en Ideal ook gebruik van gemaakt, en de meeste Nederlandse banken gebruiken ook de QR code voor toegang.
Wat bedoel je je met veel mensen downloaden de app zelf van het internet in plaats van de door de bank aangeboden app te gebruiken.
In Nederland zal je de app altijd uit de Google Playstore halen en dus zelf downloaden, de bank bied alleen die weg aan, en dat mag zonder meer als veilig worden beschouwd.
Al met al ben je toch een beetje een doemdenker, maar de waarschuwing om uitsluitend apps van financiële instellingen zelf te gebruiken is zeker nuttig.
Beste Lut,
ik ben niet ‘ een beetje doemdenker’ zoals je aangeeft. Ik steun me op expertieze van een groep gerenomeerde experten, aangesloten bij Sitel. Doch er zijn steeds mensen die het beter menen te weten.
Wat het downloaden van app’s betreft: ga maar eens kijken op het internet hoeveel aanbiedingen er zijn, zelfs om zelf een QR-code te creeeren.
“QR code is geschreven in Java Script? Dat lijkt mij totale onzin”. Gelukkig gebruik je LIJKT mij totale onzin. Geef dan tenminste aan in welk script het wel geschreven is volgens u.
Ik heb het verhaal van Lung Addie voorgelegd aan ChatGTP en hierbij het antwoord. Dus zoals met veel andere digitale zaken; opletten blijft belangrijk.
***
Goede en terechte vraag. Ik zal het verhaal feitelijk toetsen, claims nuanceren, en daarna een realistische risico-inschatting geven — zonder doemdenken, maar ook zonder valse geruststelling.
1. Kernclaim: “QR-codes kunnen onzichtbare, uitvoerbare data bevatten (JavaScript)”
Wat klopt
Een QR-code bevat altijd alleen data, geen uitvoerbare code.
Die data kan o.a. zijn:
tekst
een telefoonnummer
een betaalpayload
een URL
➡️ Pas wanneer die URL door een app of browser wordt geopend, kan er code (bijv. JavaScript) worden uitgevoerd — niet door de QR-code zelf, maar door de ontvangende applicatie.
Wat niet klopt / misleidend is
❌ “De QR-code is geschreven in JavaScript”
→ Onjuist.
Een QR-code is een bitmap met gecodeerde tekens. JavaScript kan achter een URL zitten, niet in de QR-code.
Correcte formulering zou zijn:
Een QR-code kan een URL bevatten die verwijst naar een website waarop JavaScript draait.
2. Attagging (QR-code vervangen of overplakken)
Dit klopt volledig
Dit is een reëel en bekend risico.
Voorbeelden:
Een restaurant-QR wordt overplakt met een QR die naar een phishing-site leidt
Een parkeer-QR leidt naar een valse betaalpagina
Een betaal-QR wordt vervangen door die van een crimineel
➡️ Dit heet internationaal:
QR phishing
QR code replacement attack
Soms informeel “attagging”
✔️ Dit gebeurt aantoonbaar en is geen theorie.
3. Claims over smartphone-misbruik (camera, microfoon, contacten)
Hier is nuancering essentieel
❌ Onjuist / overdreven
“Camera, microfoon, GPS, contacten kunnen automatisch worden doorgestuurd via een QR-code”
Dat kan niet automatisch.
Waarom niet:
iOS en Android vereisen expliciete toestemming per app
Een website kan geen microfoon of camera activeren zonder gebruikersactie
QR-codes hebben geen privilege-niveau
✔️ Wat wél kan
Een QR-code kan leiden naar:
een phishing-pagina
een nep-bankomgeving
een site die vraagt om:
inloggegevens
installatie van malware
toestemming voor bepaalde functies
➡️ De menselijke factor is hier het grootste risico, niet de QR-code zelf.
4. Financiële QR-betalingen (Thailand, banken, apps)
Belangrijk onderscheid (vaak vergeten):
Bank-QR-codes (zoals in Thailand)
Worden gescand binnen de officiële bankapp
Betaling:
gaat via beveiligde API’s
vereist authenticatie (PIN, biometrie)
toont altijd bedrag + ontvanger
QR bevat meestal:
merchant ID
bedrag
referentie
geen URL
➡️ Dit is fundamenteel anders dan een “open QR” via de camera-app.
⚠️ Onveilige situaties
QR scannen met:
standaard camera-app
onbekende QR-scanner
browser zonder sandboxing
QR die doorstuurt naar een website waar betaald moet worden
5. Claim: “Bijna alle bankfraude komt van draadloos bankieren”
Dit is onjuist / te absoluut
Wat statistieken wereldwijd tonen:
De meeste fraude komt door:
phishing (e-mail, sms, WhatsApp)
social engineering
malware op toestellen
Dat gebeurt:
op smartphones
maar ook op laptops en pc’s
❌ Het is niet bewezen dat:
smartphone-bankieren op zich onveiliger is
QR-betalingen de hoofdoorzaak zijn
✔️ Wel waar:
Mensen die apps buiten officiële stores installeren lopen veel meer risico
Publieke wifi verhoogt risico bij slecht geconfigureerde apps
6. Eindbeoordeling: hoe gevaarlijk zijn QR-codes echt?
Reële risico-inschatting
Situatie Risico
QR scannen via officiële bankapp Zeer laag
QR scannen via camera → browser Matig
QR op straat / sticker over sticker Reëel
QR die vraagt app te installeren Hoog
Publieke wifi + betaling Matig
7. Moet je QR-betalingen vermijden?
Nee, niet categorisch
Maar je voorzichtigheid is rationeel, niet paranoïde.
Beste praktijk (samengevat)
✔️ Scan betaal-QR’s alleen binnen de bankapp
✔️ Controleer altijd:
bedrag
ontvanger
✔️ Geen apps installeren via QR
✔️ Geen betalingen via openbare wifi
✔️ Wantrouw geplakte of beschadigde QR-stickers
Cash of pc-bankieren blijven uiteraard het laagste risico, maar QR-betalingen via banken zijn niet inherent onveilig.
Conclusie in één zin
De QR-code zelf is niet gevaarlijk; het risico zit in wat erna gebeurt en wie je vertrouwt — en bij bank-QR’s is dat risico doorgaans laag zolang je de officiële app gebruikt.
****
Blijven opletten en laat je niet al te bang maken.
Had dan ook die ChatGPT van jou gevraagd er een fatsoenlijke tekst van te maken, of had zelf de moeite genomen om er een fatsoenlijk leesbaar iets van te maken? Zo gemakkelijk allemaal: niet meer zelf denken, niets meer zelf opzoeken, interpreteren en een analyse van schrijven? Je stelt een vraag, je krijgt een antwoord, en je presenteert het als feit. Knap!
Ergens vind ik het jammer dat, wanneer iemand een technisch artikel publiceerd, dit onmiddelijk met AI geferifieerd wordt. Wie kan bewijzen dat AI, waarvan geweten is dat het ook niet perfect i, de enige en de meest berouwbare informatie levert??? Dat is net als vroeger, voor AI verscheen er nogal wat mensen zich volledig moesten steunen op Wikipedia en daar de enige en echte waarheid vonden.
Er zijn in mijn artikel wel een paar zaken welke ik, om het eevoudig en verstaanbaar, e houden, anders moest gedefinieert hebbe, QR-code bevat idd enkel binaire code. Dat is trouwens de taal welke een computer verstaat. Het is wel zo dat heel vaak, Javascript eerst geschreven wordt en dan omgeet wordt in binaire code. Net als omgekeerd, de binaire code dan omgezet wordt in leesbare Javascript code.
Tenslotte, op een paar details na, is de conclusie, ook van AI: wees voorzichtg met de QR-code bij draadloos gebruik..
citaat:
Conclusie in één zin
De QR-code zelf is niet gevaarlijk; het risico zit in wat erna gebeurt en wie je vertrouwt — en bij bank-QR’s is dat risico doorgaans laag zolang je de officiële app gebruikt.